Bilgi Sistemleri Yönetiminde Kayıt mekanizmasının oluşturulması

- Bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerin karmaşıklığını ve kapsamının genişliğini göz önünde bulundurarak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilir. Bu sayede, bilgi sistemleri dahilinde gerçekleşen faaliyetlere ilişkin kayıtlarda değişiklik ve silmeye sebep olan işlemlere ilişkin denetim izlerinin yeterli detayda ve açıklıkta kaydedilmesi temin edilir. Kayıt mekanizmasının yetkisiz sistemsel ve kullanıcı erişimlerine karşı korunmasına yönelik önlemler alınır.

- Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır. Denetim izlerinin bütünlüğü düzenli olarak gözden geçirilir ve olağandışı durumlar üst yönetime raporlanır.

- Denetim izlerinde asgari olarak aşağıdaki bilgiler tutulur:

a) Yapılan işlemlerin türü ve niteliği,

b) İşlemlere ilişkin yetkisiz erişim teşebbüsleri,

c) İşlemi gerçekleştiren uygulama,

ç) İşlemi gerçekleştiren kişinin kimliği,

d) Yapılan işlemlerin zamanı.

- Denetim izleri asgari 5 yıl saklanır. Denetim izlerinin, yeterli güvenlik düzeyine sahip ortamlarda korunması ve yedeklerinin alınması suretiyle, yaşanması muhtemel olumsuzluklar sonrasında da öngörülen süre için erişilebilir olmaları temin edilir.

- Dış kaynak hizmeti alınan kuruluşlar, müşteriler ve personel, bilgi sistemleri üzerindeki aktivitelerinin kaydının tutulduğu konusunda bilgilendirilir.

- Denetim izlerinin tutulması, mevzuatın diğer hükümleri gereği belge saklamasına ilişkin yükümlülüklerini değiştirmez.

Bilgi güvenliği ihlali

- Gerçekleşen her türlü bilgi güvenliği ihlal olayının ve bilgi sistemlerine ilişkin ortaya çıkan zayıflıkların yönetilmesini sağlayacak kontroller tesis edilir. Bu kontroller asgari olarak aşağıdaki hususları içerir:

a) Gerçekleşen ihlal veya ortaya çıkan zayıflığın mümkün olan en kısa sürede kayda alınması ve çözülmesi için gerekli mekanizmaların kurulması, sorumlulukların belirlenmesi ve tüm personelin bilgilendirilmesi,

b) İhlal olayını veya zayıflığı bildiren kişinin, işlemin sonucu hakkında bilgilendirilmesi,

c) Bildirimi yapılan tüm ihlal olayı ve zayıflıkların kök sebebinin bulunması ve düzeltici faaliyetlerin uygulanması,

ç) Kritik ihlal olayları veya zayıflıkların üst yönetime raporlanması,

d) Tüm ihlal ve zayıflıkların; türü, ortaya çıkış zamanı, etkilediği bilgi sistemleri, iş süreçleri ve etki alanı ile buna karşı gerçekleştirilen düzeltici faaliyetler, harcanan zaman, maliyet ve işgücü miktarının kayda alınması,

e) Tekrarlayan veya benzer ihlal veya zayıflıklara organizasyonun hazırlıklı olmasının sağlanması.

Bilgi sistemleri edinimi, geliştirilmesi ve bakımı

- Bilgi sistemlerinin edinimi, geliştirilmesi ve bakımı için kontroller tesis edilir. Bu kontroller asgari olarak aşağıdaki hususları içerir:

a) Geliştirilecek, değiştirilecek veya dış kaynak hizmeti yoluyla edinilecek her türlü bilgi sisteminin, fonksiyonel gereksinimleri ile tasarım, geliştirme ve test aşamalarının her biri için teknik ve güvenlik gereksinimleri yazılı hale getirilir,

b) Temin edilecek bilgi sistemleri yapısının şirketin veya kurumun ölçeği, faaliyetlerinin ve sunulan ürünlerin niteliği ve karmaşıklığı ile uyumlu olması zorunludur,

c) Bilgi sistemlerinin geliştirme, değişiklik veya edinimi faaliyeti boyunca, işin gelişimini takip edebilmek için proje gelişim raporları hazırlanır ve yönetim kurulu tarafından onaylanır,

ç) Bilgi sistemlerinde yapılacak önemli güncellemelerin veya değişikliklerin iş süreçlerini aksatmaması ve bilgi güvenliği riski oluşturmaması için güncelleme veya değişikliklere ilişkin planlama, test ve uygulama adımları detaylı olarak ele alınır,

d) Uygulamalarda veri girişlerinin tam, doğru ve geçerli şekilde yapılmasını, veri üzerindeki işlemlerin doğru sonuçları üretmesini sağlayacak, veri ve işlem kaybını, verinin yetkisiz değiştirilmesini ve kötüye kullanımını önleyecek uygun kontroller tesis edilir,

e) Uygulama güvenliği ve erişilebilirlik gereksinimleri belirlenirken organizasyonun belirlemiş olduğu veri sınıflandırması ve risk öncelikleri göz önünde bulundurulur,

f) Bilgi sistemleri gerçek ortamda kullanıma alınmadan önce kabul kriterleri belirlenir, hazırlanacak bir plana göre fonksiyonel, teknik ve güvenlik gereksinimleri testlerine tabi tutulur, test verileri özenle seçilerek korunur ve kontrol edilir,

g) Gerekli hallerde değiştirilmiş veya yeni geliştirilmiş sistem, gerçek ortamda kullanıma alınmadan önce, belirli bir olgunluk seviyesine ulaşana kadar eski sistemle beraber çalıştırılmasına devam edilir; bu şekilde paralel işletimin mümkün olmadığı durumlarda ise, değiştirilmiş veya yeni geliştirilmiş sistem belirli bir olgunluk seviyesine ulaşana kadar eski sistem veri kayıpsız olarak devreye alınabilir halde tutulur,

ğ) Bilgi sistemlerinin kullanımı ile ilgili gerekli eğitim materyalleri oluşturulur,

h) Geliştirme, test ve gerçek ortamdaki işlemler ile bu işlemlerin gerçekleştiği ortamlar, yetkisiz erişim ve değişim riskine karşı birbirinden ayrılır.